[Scia Reto](https://sciareto.org) mind map   
> __version__=`1.1`,generatorId=`com.igormaznitsa:idea-mindmap:intellij-2022.33.0-IntelliJ IDEA`
---

# 信息安全抗攻击技术

## 暴力破解

### 为对抗攻击者的攻击，密钥生成考虑3个方面的因素

#### 增大密钥空间

##### 密码长度

#### 选择强密钥

##### 密码字符组合

#### 增加密钥的随机性

## DOS拒绝服务攻击

### 目的

#### 占用目标机器资源

#### 使目标机器无法正常提供服务

### 手段

#### 内部用户

##### 长时间占用系统的内存、CPU等资源，是其他用户得不到系统资源

#### 外部用户

##### 占用网络资源，是其他用户得不到网络服务

##### 破坏或更改网络配置信息

##### 物理破坏或改变网络硬件

#### 分布式 DDOS

##### 使用多台机器进行网络资源占用

### 防御方式

#### 加强对数据包的特征识别

#### 设置防火墙监视本地主机端口的使用情况

#### 对通信数据量进行统计也可以获得有关攻击系统的位置和数量信息

#### 尽可能的修正已发现的问题和系统漏洞

### 攻击方式

#### 同步包风暴SYN Flooding

##### 利用TCP三次握手，恶意造成大量TCP半连接，耗尽服务器资源，导致系统拒绝服务

#### ICMP攻击

#### SNMP攻击

## ARP欺骗

### IP到MAC地址的转换协议

### 正常ARP原理

#### 主机A想知道局域网内主机B的MAC地址

#### 主机A就广播发送ARP请求分组，局域网内主机都会收到，但只有主机B收到解析后知道是请求自己的MAC地址，所以只有B会返回单播的响应分组，告诉A自己的MAC地址

#### A收到响应分组后，会建立一个B的IP地址和MAC地址映射，这个映射是动态存在的，如果一定时间AB不再通信，那么就会清空这个地址映射

#### 如果还需要通信，那么重复上述过程

### ARP欺骗

#### 正常ARP过程中，A是不管有没有发送过请求广播分组的，而是接受了返回的分组信息就会刷新IP和MAC地址映射

#### 如果主机C模拟了返回分组格式，将正确的IP地址关联到自己主机的MAC地址后，A受到欺骗将C的MAC地址当成B，那么每次发送给B的数据包都会被C监听到

### 防范措施

#### 固化ARP表，阻止ARP欺骗

#### 使用ARP服务器

#### 采用双向绑定的方法解决ARP欺骗

#### 使用ARP防护软件

## DNS欺骗

### 原理

#### 冒充域名服务器，然后把查询的IP地址改为攻击者的IP地址

### DNS欺骗检测

#### 被动监听检测

##### 通过旁路坚挺的方式，补货所有DNS请求和应答包，为期建立一个请求应答映射表

#### 虚假报文探测

#### 交叉检查查询

## IP欺骗

### 原理

#### 首先使被冒充主机B的网络暂时瘫痪，以免对攻击造成干扰

#### 然后连接到目标主机A的某个端口来猜测ISN基质和增加规律

#### 接下来把源址伪装成被冒充的主机B，发送带有AYN标志的数据段请求连接

#### 然后等待目标主机A发送SYN\+ACK包给已瘫痪的主机，因为现在看不到这个包

#### 最后再次伪装为主机B向目标主机A发送的ACK，此时发送的数据段带有预测的目标机的ISN\+1

#### 连接建立，发送命令请求

### 防范

#### 设置防火墙过滤来自外部而信源地址却是内部IP的报文

## 端口扫描

### 原理

#### 尝试与目标主机的某些端口建立连接，如果目标端口有回复，则说明该端口开放

### 原理分类

#### 全TCP连接

##### 使用三次握手，与目标计算机建立TPC连接

#### 半打开式扫描（SYN扫描）

##### 扫描主机向目标机器指定的端口发送SYN数据段,表示发送建立连接请求

##### 如果目标计算机的回应TCP报文中SYN=1 ACK=1，则说明该端口是活动的，接着扫描主机传送一个RST给目标主机拒绝建立TPC连接，从而中断三次握手

##### 如果目标计算机的回应是RST，则表明该端口未启用

#### FIN扫描

##### 发送FIN来判断目标计算机指定端口是否为活动端口

#### 第三方扫描
